2016/12/22

Hyper-V の仮想 TPM が突然使えなくなった。もしかしてデバイスガードや資格情報ガードも?(パッチあり)


Windows Server 2016 で以前動いていた仮想 TPM ありの仮想マシンを起動したところ、「分離ユーザー モードがオフになっているため、起動できません」と言われるように。

最近の更新プログラムで仕様変更になったのか、あるいは何かの手違いか。この問題を回避できないものか試行錯誤していたら、犯人の目星が...

msinfo32.exe で VBS の状態を確認すると「Device Guard 仮想化ベースのセキュリティ:無効」となっていました。以前は Hyper-V を有効化しただけで VBS が「実行中」になったのですが...

レジストリをちょちょちょいいして、VBS を強制的に有効化しようとしましたが、「実行中」にならず。

Hyper-V の役割を削除&再インストールしてみても状況は変わらず。VBS は「有効(停止中)」のまま。

なんて試行錯誤していたら、こんなフォーラムの投稿をみつけました。12 月 14 日の累積的な更新プログラム KB3206632 さんがやらかしたっぽいです。VBS に依存する仮想 TPM 、デバイス ガード、資格情報ガードがすべて使えなくなっている様子

Cannot enable credential guard on Latitude E5470
[URL] http://en.community.dell.com/support-forums/software-os/f/4997/t/20000273


マイクロソフトからの公式発表がないので、何とも言えませんが。もしこれが KB3206632 (10.0.14393.576) の不具合だとしたら、  (KB3206632 の不具合確定) 12 月初めの DHCP によるネット不接続問題 (いつの更新からかは不明 原因は 11 月の KB3200970、KB3206632 で解決) に続く大失態。あちらを直してこちらを壊す。

追記)
Windows 10 向けに新しい累積的な更新プログラムが 12/20 付けで出ていました。Windows Update には配布されていません。Microsoft Update Catalog から入手可能。

Cumulative update for Windows 10 Version 1607 and Windows Server 2016: December 20, 2016 
[URL] https://support.microsoft.com/en-us/kb/3213522

This update fixes an issue that was introduced in the December 13, 2016 release (KB3206632) in which virtualization-based security (VBS) does not start, and features that rely on VBS, such as Credential Guard and shielded virtual machines (VMs), stop functioning.

影響を受ける (VBS の機能を利用している) 場合は更新してみては。Windows Server 2016 向けの KB3213522 が見当たりませんが、x64 ベース システム用 Windows 10 Version 1607 の累積的な更新プログラム (KB3213522) で OK のようです。うちのはこれで治りました。

バージョンは 14393.576 から .577 に。ちょっとの変更ですが、Windows Update では配布されていないようなので、1GB 近いダウンロードが必要です。別の不具合が入っているかもしれないので、更新するかどうかは自己判断で。


累積的な更新プログラムに問題があって、修正版が出てるのなら、問題の内容と修正版への案内を Windows 10 and Windows Server 2016 update history とかで速やかにアナウンスしてほしい。

「Windows Updateでネット接続できなくなる」問題の犯人は、12/10のKB3201845 (14393.479)ではなく、11/9のKB3200970(14393.447)。

「Windows Updateでネット接続できなくなる」問題を解決するのは、12/14のKB3206632(14393.576)。
12/10のKB3201845 (14393.479) はなんだったの?出す必要あったの?

そして12/14のKB3206632(14393.576)は「仮想 TPM、デバイスガード、資格情報ガードが機能しなくなる」問題の犯人。

「仮想 TPM、デバイスガード、資格情報ガードが機能しなくなる」問題を解決するのは、12/21のKB3213522(14393.577、現状、Windows Updateでは配布されていない)。

果たして、KB3213522(14393.577)は、1/11までおとなしくしていてくれるのか?
 

0 件のコメント: